深信服NGAF下一代应用防火墙产品介绍

下一代防火墙- APT攻击防护首选利器一认识APT攻击互联网攻击与防御技术一直以来都是此消彼长，交替前行，根据CNCERT/CC 2012中国互联网网络安全报告分析，一种攻击特征更隐蔽、持续性更长、影响范围更大、技术手段更加灵活的网络间谍攻击对企业和组织将带来越来越大的安全威胁，这就是大家热谈的APT攻击。

APT 全称Advanced Persistent Threat（高级持续性威胁），是以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。

这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。

APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。

二APT攻击特征(1)、攻击者的诱骗手段往往采用恶意网站，用钓鱼的方式诱使目标上钩；(2)、攻击者也经常采用邮件方式攻击受害者，这些夹杂着病毒的邮件内容往往让疏于防范的受害者轻易中招；(3)、网站往往是一个企业或组织的对外门户，很多企业或组织对网站缺乏良好的安全防护，对攻击者而言，网站如同攻击过程中的桥头堡，是攻击者渗透进内网的重要捷径；(4)、一旦企业或组织的内网终端或者门户网站感染恶意程序，成为僵尸网络主机，将频繁进行内网隐私数据信息嗅探；(5)、通过已感染主机做反弹跳板，黑客可以对目标网络进行持续性的账户/口令猜解或者数据监听，从而获取攻击目标登陆权限；(6)、目前绝大多数安全防护设备【传统网络层防火墙、IPS等等】只能做到从外到内的单向危险流量检测和防护，从内到外主动发起的数据传输缺乏有效的检测和防范机制，给APT攻击者开通了一条灰色的数据运输通道。

攻击者通过控制攻击目标，源源不断地从受害企业和组织获取数据信息。

从上述APT攻击特征进行分析，不难发现APT攻击已经不再是传统认识观念中的单一网络攻击行为，针对APT攻击，采取多款安全产品串行堆叠的传统做法已经无法有效应对，市场迫切需要新一种新的防御方案。

深信服下一代防火墙设备功能配置系列二：地址转换功能
案例需求:
某客户拓扑图如下，客户需要让内网用户和服务器群都能够通过NGAF防火墙上网，此时需要在NGAF设备上添加源地址转换规则，将192.168.1.0/24和172.16.1.0/24上网的数据经过NGAF后转换成 1.2.1.1，也就是NGAF设备出接口ETH1的IP地址。

配置详述：
1.在配置源地址转换规则之前，首先要在网络配置中定义好接口所属的区域，在对象定义中定义好内网网段所属的IP组。

因此，将ETH1接口定义为外网区域，ETH2定义为内网区域。

网段17
2.16.1.0/24和192.168.1.0/24定义成内网IP组。

2.在地址转换栏目中新增地址转换策略并启用该策略。

同时，设置源区域和IP组，用于设置需要进行源地址转换即匹配此条规则的源IP条件，只有来自指定的源区域和指定IP组的数据才会匹配该规则、进行源地址转换。

3.设置外网区域为目标区域，数据到哪个目标区域、访问哪些目标IP组、或者从哪个接口出去的数据，才匹配该规则。

同时，将源地址转换设置为出接口地址，即外网接口地址。

4.保存并启用该策略。

SANGFOR_AF_产品简介Gartner定义下⼀代防⽕墙源引⾃：Gartner《Defining the Next-Generation Firewall》⼀、防⽕墙必须演进防⽕墙必须演进，才能够更主动地阻⽌新威胁(例如僵⼫⽹络和定位攻击)。

随着攻击变得越来越复杂，企业必须更新⽹络防⽕墙和⼊侵防御能⼒来保护业务系统。

不断变化的业务流程、企业部署的技术，以及威胁，正推动对⽹络安全性的新需求。

不断增长的带宽需求和新应⽤架构(如Web2.0)，正在改变协议的使⽤⽅式和数据的传输⽅式。

安全威胁将焦点集中在诱使⽤户安装可逃避安全设备及软件检测的有针对性的恶意执⾏程序上。

在这种环境中，简单地强制要求在标准端⼝上使⽤合适的协议和阻⽌对未打补丁的服务器的探测，不再有⾜够的价值。

为了应对这些挑战，防⽕墙必须演进为被著名市场研究公司Gartner称之为“下⼀代防⽕墙(NextGenerationFirewall，简称NGFW)”的产品。

如果防⽕墙⼚商不进⾏这些改变的话，企业将要求通过降价来降低防⽕墙的成本并寻求其他安全解决⽅案来应对新的威胁环境。

⼆、什么是NGFW?Gartner将⽹络防⽕墙定义为在不同信任级别的⽹络之间实时执⾏⽹络安全政策的联机控制。

Gartner使⽤“下⼀代防⽕墙”这个术语来说明防⽕墙在应对业务流程使⽤IT的⽅式和威胁试图⼊侵业务系统的⽅式发⽣变化时应采取的必要的演进。

NGFW⾄少具有以下属性：1．⽀持联机“bump-in-the-wire”配置，不中断⽹络运⾏。

2．发挥⽹络传输流检查和⽹络安全政策执⾏平台的作⽤，⾄少具有以下特性：（1）标准的第⼀代防⽕墙能⼒：包过滤、⽹络地址转换(NAT)、状态性协议检测、VPN等等。

（2）集成的⽽⾮仅仅共处⼀个位置的⽹络⼊侵检测：⽀持⾯向安全漏洞的特征码和⾯向威胁的特征码。

IPS与防⽕墙的互动效果应当⼤于这两部分效果的总和。

例如提供防⽕墙规则来阻⽌某个地址不断向IPS加载恶意传输流。

国内下一代防火墙第一品牌
深信服下一代防火墙（Next-GenerationApplicationFirewall）NGAF是面向应用层设计，能够精确识别用户、应用和内容，具备完整安全防护能力，能够全面替代传统防火墙，并具有强劲应用层处理能力的全新网络安全设备。

NGAF解决了传统安全设备在应用识别、访问控制、内容安全防护等方面的不足，同时开启所有功能后性能不会大幅下降。

区别于传统的网络层防火墙，NGAF具备L2-L7层的协议的理解能力。

不仅能够实现网络层访问控制的功能，且能够对应用进行识别、控制、防护，解决了传统防火墙应用层控制和防护能力不足的问题。

区别于传统DPI技术的入侵防御系统，深信服NGAF具备深入应用内容的威胁分析能力，具备双向的内容检测能力为用户提供完整的应用层安全防护功能。

同样都能防护web攻击，与web应用防火墙关注web应用程序安全的设计理念不同，深信服下一代防火墙NGAF关注web系统在对外发布的过程中各个层面的安全问题，为对外发布系统打造坚实的防御体系。

性能参数
功能列表。

深信服下一代防火墙NGAF产品导入什么是下一代防火墙？防火墙通常用于两个网络之间的隔离，隔离的是“火”的蔓延，而又保证“人”的穿墙而过。

这里的“火”是指网络中的各种攻击，而“人”是指正常的通信报文。

但是随着黑色产业链的兴起和攻防技术的进步，“人”的因素已经发生了变化，有行为正常的“好人”，也可能有居心叵测，想携带“火种”混入的“坏人”。

所以对于防火墙来说，需要能够有更先进的技术可以识别出“好人”和“坏人”，于是就有了下一代防火墙的概念。

国际知名IT咨询机构Gartner在2009年最初发布了对下一代防火墙NGFW 的定义，简单来说下一代防火墙相较与传统防火墙的区别就是NGFW深度集成了入侵防御功能，能够实现对数据内容的检测以及能够对应用协议和用户进行识别和管控，比传统防火墙只能基于IP地址和端口的管控方式提供了更细粒度的控制手段。

深信服在2011年7月发布了下一代防火墙产品NGAF，是国内最早发布NGFW的安全厂商。

相较与Gartner定义的下一代防火墙，深信服下一代防火墙做了更进一步的提升，最大的特点就是融入了对Web业务安全保护的能力，深信服下一代防火墙提倡的价值主张是：融合安全，简单有效。

融合是指围绕业务生命周期，从事前、事中、事后所需要的安全保护技术手段的融合，简单有效是指安全交付能够简单、可视，安全运营可以持续开展。

销售场景1.客户有网络改造，新建机房或者新建业务系统的需求；2.客户网站被第三方监管机构检测出漏洞或威胁，并被通报要求限期整改；3.出现了如新型恶意软件（勒索病毒，木马等），高危漏洞大规模爆发的安全事件应急处置需求；4.客户存在等级保护等安全合规性建设需求；5.客户原有防火墙使用年限较长（3年以上），存在替换的需求；6.网络不同逻辑区域之间或者物理区域边界之间还未部署安全设备；7.客户有采购入侵防御系统IPS或Web应用防火墙WAF的需求；8.客户需要采购互联网出口网关设备或者有对外发布的网站需要做安全加固;核心功能事前➢资产发现：自动识别内部业务服务器的IP地址、开放端口，以及是否有安全策略覆盖这些识别出的服务器。